引言
2020年6月29日,印度新闻信息部发布消息称,印度信息电子与技术部援引《信息技术法案》(the Information Technology Act)第69A部分第2009条,禁止用户在印度境内访问(Blocking)59款中国移动应用,理由在于以上移动应用以非法方式窃取用户数据传输至境外服务器,可能损害印度的主权以及国家安全与公共秩序。[1] 全球范围内,基于安全目的对于数据跨境的限制和审查早已不是新闻,更重要的是“数据主权”思想渐渐融入到各国的立法和执法活动中。印度此举再次引发各方关注,跨国企业应当提高警惕,对于潜在数据安全及合规风险提前应对,建立符合国际立法趋势和竞争形势的全球数据跨境顶层设计,并将数据资产的思路贯彻到企业日常经营管理中。
1. 印度的数据跨境规则
此前印度在数据跨境自由流动与数据本地化之间持较为中间的态度。[2] 一方面逐步推进数据本地化政策,另一方面设置了数据本地化的豁免情形,并对数据分级分类实行不同的数据本地化要求。以个人数据为例,印度《个人数据保护法草案》[3](Personal Information Protection Act,以下简称“《个人数据保护法案》”)将个人数据分为三类,根据《个人数据保护法案》第33条与第34条,我们理解,印度实现个人数据跨境传输的路径通常有三种:
一般个人数据 | 没有作出限制,可以自由传输至境外 |
敏感个人数据 | 满足第34条第(1)款条件时,可以传输至境外 |
关键个人数据 | 原则上禁止传输至境外,例外地满足第34条第(2)款列举的医疗急救事由或获得中央政府允许时,可以传输至境外 |
判断个人数据的敏感或关键程度,需要对具体的数据处理场景进行个案分析。此次受到波及的59款移动应用涉及多个领域,包括短视频、浏览器、地图、跨境电商、游戏、社交、安全软件、新闻、图片编辑、邮件、音乐、直播、翻译等,包含大量个人数据的处理。但是,这些个人数据是否都属于敏感个人数据或关键个人数据并不能直接判定。由于场景众多、数据量较大,可能很难逐一论证移动应用处理数据的合法性,并且由于各场景情况不同,通常也较难实现直接禁止访问全部移动应用的处罚效果。
但是,在《个人数据保护法草案》体系之外,印度现行的《信息技术法案》第69A部分还赋予了政府基于特定目的,禁止公众访问任何形成、传输、接收、存储或托管在任何计算机资源中的数据的权力。其中,第69A部分所规定的特定目的包括,保护印度主权及保护国家安全与公共秩序,维持与外国友好关系,以及防止煽动实施与前述有关的任何可识别罪行等。这一条款为印度限制或禁止向境外传输的数据类型提供了一定的弹性空间,即除了《个人数据保护法草案》中的个人敏感数据或关键个人数据,任何类型的数据只要被政府认定为有损害以上目的的风险,都有可能被禁止访问。
基于保护国家主权、数据主权等对数据跨境传输作出限制,不排除是一国为保护国内数字产业经济发展或国内其他利益而综合考量的结果。但是,由于政府在认定是否发生损害国家主权、数据主权的风险时具有较大的裁量权,对于涉及数据跨境传输的企业而言,常会面临较大的不确定性与风险。因此,援引类似规定前通常应进行谨慎地论证,否则轻易地触发类似规定引发限制数据出境的后果,将给跨境经济活动带来较大地危害。
2. 其他法域的数据跨境规则及实践
出于国家安全、数据安全等因素限制数据跨境活动并不局限于印度,全球范围内,不同法域针对数据跨境活动可能具有不同程度的限制,全部或部分的数据本地化规则成为各国数据主权立法体系中的重要组成部分。
美国
以美国为例,保护国家安全、数据安全等是其在实践中限制数据跨境活动的重要理由。2018年颁布生效的美国《澄清域外合法使用数据法案》 (the Clarifying Lawful Overseas Use of Data (CLOUD) Act, 以下简称“CLOUD Act”)将美国执法机关的数据“主权”延伸至美国企业“控制”的境外数据。2019年共和党议员向参议院提交关于《2019国家安全与个人数据保护法》(National Security and Personal Data Protection Act of 2019)的提案,通过专门立法的方式对该问题作出细致规定,其条款的设置也充分凸显了美国“数据主权”的理念,例如明确要求跨国开展业务的特别关注科技公司(Covered Technology Company, CTC)将数据回传美国和本地化存储,同时对用户数据的输出进行了严格管制等。
欧盟
欧盟主要通过《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)及《非个人数据在欧盟境内自由流动框架条例》对数据跨境传输进行规制,推动数据在欧盟境内的自由流动。欧盟对于与区域外的数据跨境传输提出了条件限制(例如充分性认定、约束性公司规则、标准数据保护条款等)。而作为对CLOUD Act中“数据主权”及其规则的回应,欧盟数据保护委员会(European Data Protection Board)曾发布报告表示,“CLOUD Act可能与GDPR第48条,即仅在基于国际协议的基础上认可域外法院命令”进而向欧盟境外传输个人数据的规则存在冲突。[4]
日本
日本的数据跨境传输制度可能相对更为宽松,目前日本尚未就国家安全、数据主权的事由作出具体规定。以个人数据为例,除某些特殊的国际协议或数据保护水平的互认外,日本《个人信息保护法》就一般性的个人数据跨境传输所提供的合法路径主要限于以下三种情形,即征得数据主体同意、接收国获得个人信息保护委员会认可具备同等保护水平或接收方具备完善的数据保护体系等。
其他
其他法域在实践中也已经出现针对数据跨境的监管处罚。例如,法国数据保护机构(the French Data Protection Authority)2019年对一家建筑公司开出罚单,其中一个原因就在于该公司在将拨打营销电话过程中收集的数据传输到非欧盟地区的呼叫中心提供商的过程中,未采取有效的数据跨境传输措施。又如,俄罗斯虽然本身不绝对禁止个人数据出境,但是要求数据首次存储必须在俄罗斯的服务器上。[5] 2020年3月Twitter 和Facebook因为拒绝将数据存储在俄罗斯服务器而遭到俄罗斯法院的高额处罚等。[6]
3. “数据主权”下的数据跨境规则与企业全球数据资产管理体系
尽管在数据跨境传输的具体监管规则设计和监管强度上可能有所不同,但各国均不约而同地将数据(特别是个人数据)的跨境传输作为数据保护体系构建中的重要一部分,其背后所反映的正是“数据主权”或者 “确保对数据资源及价值的控制”的立法理念。与此同时,不同司法辖区的数据跨境监管路径及具体规则设计上的差异,也为企业在多司法辖区业务开展过程中的“全球”数据管理体系构建和合规成本提出了考验。
实践中,为了满足企业在特定司法辖区业务运营中的合规义务,包括但不限于数据安全、行业监管规则、数据与国家安全等;同时考虑到(1)实际的数据管理体系建设成本,如数据中心等基础设施建设成本、信息流转及沟通成本;(2)业务对数据的需求,特别是数据的实时性与全面性之间的动态平衡等因素,实践中逐渐形成了三种常见的全球数据管理体系构建思路,即:
(1)单极中心化的数据管理体系:在全球构建单个巨型数据中心及单一控制主体,作为数据的存储及处理的核心“大脑”,将业务所在的司法辖区收集和产生的数据传输至唯一的数据中心,实现中心化的数据处理;
(2)多极区域化的数据管理体系:按照需求,对全球业务所在的司法辖区进行区域性划分,在对应区域内选择合适的司法辖区构建区域数据中心并设置控制主体,作为区域内数据存储及处理的关键性节点,保障区域内数据的自由流通。同时通过其他通路设计在一定程度上保障区域间数据的交互以及与总部之间的数据交互;
(3)分散本地化的数据管理体系:根据监管的要求实现全部或较高程度的本地化部署,在业务所在的主要司法辖区,结合业务对数据的需求以及监管规则,部署本地化数据中心并设置对应的控制主体、较大程度地限制数据向境外传输的情形,仅在对数据进行必要处理或满足特定监管规则情况下就进行有限的数据跨境传输和交互。
对于以上三种数据管理体系,可能在基础设施建设及数据交互沟通成本、数据的融合与价值开发、数据安全(特别是数据泄露)风险、数据内部合规制度构建及审查等方面都存在不同之处,特别是考虑到某些行业、企业的业务运营需求以及监管机构的关注重点等要素,三种数据管理体系可能在常规意义上会适用于不同类型的行业和业务(有关三种全球数据管理体系的构建形式、优劣势分析及实践应用的更多信息,请参见“一文)。
4. 全球数据跨境的顶层设计与数据资产管理体系
企业只有在全面厘清自身业务中的数据类型、数据需求、业务所在司法辖区的监管规则及其适用情况的基础上,充分考虑自身的数据安全管理能力、信息沟通交互能力、合规成本等要素,才能选择出最适合的数据管理体系。除了既存的数据跨境、产品及服务等情况外,从动态发展的视角来看,我们建议企业在构建数据管理体系时还需要结合未来(特别是中短期的)业务发展规划、监管规则变化趋势,为数据管理体系的构建保留一定的弹性空间。
同时从“数据主权”概念下公权力对于数据资源的限定可以充分理解数据对于社会及企业的价值和带来的竞争力,企业应当从数据资产的角度来规划和管理自身的数据,从安全、合规、融合和价值四个维度来建立企业的数据资产池,并通过技术、合规及商业的管理方法来保护和管理数据资产,最大限度发挥数据资产的驱动力。
在中国企业“走出去”的时代趋势之下,本次的印度执法活动再次为中国企业的海外业务运营敲响了警钟。“数”往知来,在数据主权理念日益受到重视、数据跨境传输的立法规则及执法活动不断加强的今天,企业在面临相关执法时是否能够实现“迅速”“优雅”的转身,通过对全球数据跨境及资产管理体系的有效构建和有机调整,降低相关法律风险,提升在海外业务运营中的市场竞争力,对于企业而言至关重要。
作者:
合规业务部 合规业务部 合规业务部
张乐健、颜婷婷
[1] 参见https://pib.gov.in/PressReleasePage.aspx?PRID=1635206。
[2] 参见上海社会科学院互联网研究中心:《全球数据跨境流动政策与中国战略研究报告》,https://www.secrss.com/articles/13274,最后访问于2020年6月30日。
[3] 尽管2018年《个人数据保护法草案》尚未生效,但在实践中该草案已具有较强的指导意义。
[4] Lauren Morris, CLOUD Act Conflicts with GDPR, EDPB says, Global Data Review, https://globaldatareview.com/international-transfers/cloud-act-conflicts-gdpr-edpb-says,最后访问于2020年7月1日。
[5] 参见https://www.huntonprivacyblog.com/2019/12/02/cnil-fines-french-construction-company-for-infringements-when-placing-marketing-voice-to-voice-calls/,最后访问于2020年7月1日。
[6] 参见https://www.marketwatch.com/story/russian-court-fines-facebook-twitter-over-data-storage-2020-02-13,最后访问于2020年7月1日。